“몇 년 전 행적까지 알아낼 수 있다”
  • 김진령 (jy@sisapress.com)
  • 승인 2011.06.28 18:09
이 기사를 공유합니다

보안 문제 전문가 고려대 이상진 교수 인터뷰 / “스마트폰 자동 로그인 사용 조심해야”

ⓒ시사저널 전영기

고려대 정보보호대학원(CIST)의 디지털 포렌식 연구센터(DFRC) 이상진 교수는 창과 방패를 함께 쥔 사람이다. 암호학이 전공인 그는 보안 문제를 연구하다 최근에는 보안을 뚫는 창을 연구해 범죄 수사에 큰 역할을 담당하고 있다. 그 성과는 미국 국방부 산하의 DC3에서 주최한 ‘미국 국방부 사이버범죄센터 디지털 포렌식 챌린지’에서 DFRC가 2009년부터 2년간 1위를 차지한 것으로 나타났다.

디지털 포렌식은 컴퓨터를 이용한 범죄뿐만 아니라 컴퓨터와 네트워크 등을 목표로 하는 범죄를 예방하고, 범죄가 발생하면 적절한 절차에 따라 디지털 증거를 수집해 민·형사상 책임을 지울 수 있도록, 법적 효력이 있는 증거로 가공해 재판에 제출하는 일련의 과정을 포괄한다. 간단하게 말하면 데스크톱 컴퓨터나 스마트폰 등 디지털 기기에 남아 있는 각종 증거들을 추출해내는 디지털 프로파일링-디지털 신상 털기를 잘한다는 이야기이다.

이 연구소에서는 인터넷상에 남긴 개인의 기록이나 접속 기록, 컴퓨터상의 흔적, 스마트폰 사용 기록과 흔적을 분석해 기업의 기술 유출이나 컴퓨터 관련 각종 범죄 수사 해결에 한몫하고 있다. 이상진 교수로부터 디지털 흔적에서 개인의 사생활이 얼마나 보호될 수 있는지 들어보았다.

스마트폰의 보안이 취약한 것인가?

꼭 그렇다고 볼 수는 없다. 기존 휴대전화에는 없던 앱이라는 것이 있으니까 악성 프로그램이 파고들 여지가 생겼다. 주어진 대로만 쓴다면 보안이 취약하지 않다. 굳이 공짜 프로그램을 쓰려고 하고, 그것을 또 악용하려고 하는 사람이 있으니까 문제이다.

스마트폰 운영체제(OS)별로 보안 취약성이 차이가 나는가?

아이폰은 운영체제가 공개되지 않았고 안드로이드는 공개되어 있다. 기본적으로 아이폰은 데이터를 암호화한다. 휴대전화를 잃어버렸을 때 본사에서 데이터 삭제 명령을 내릴 수 있다. 훔친 아이폰을 사용할 수는 있지만 데이터는 엿볼 수 없다. 그래서 프라이버시 보호 측면에서는 좀 더 낫다고 할 수 있다. 현재까지는 안드로이드가 더 보안에 취약하다. 앞으로는 점점 더 개선될 것으로 보인다. 사용자들이 개발할 여지가 더 크니까.

안드로이드는 엿보기가 가능한가?

아이폰은 현재 수사 기관도 열람을 하지 못한다. 삭제한 데이터를 복구하지도 못한다. 스마트폰이 요즘 성폭행 사건의 증거물로도 사용되는데 아이폰은 그림을 삭제하는 경우 복구가 힘들다. 반면 안드로이드에서는 지운 이미지도 복구가 가능하다.

안드로이드에서 완벽하게 과거 데이터를 지울 방법이 없나?

이런 것은 알려주면 안 되는데.(웃음) 파일을 삭제한 뒤 굉장히 큰 파일을 꽉 차게 덮어씌우면 된다. 동영상 파일 같은 것이다. 그러면 삭제된 영역에서 덮어씌워지면서 과거 파일을 복원할 수 없게 된다.

내 정보를 보호하려면?

기본적으로 탈옥이라든가, 루팅이라든가, 이런 것 하지 말고 잠금 장치를 하고, 인터넷진흥원에서 권하는 개인 보안 지침 같은 것을 지키면 된다.

 

“내 정보를 보호하려면 잠금 장치를 하고, 인터넷진흥원에서 권하는 개인 보안 지침을 지키면 된다. 서비스 회사에서는 사용자가 기록을 삭제하면 완전히 삭제된다고 밝히고 있지만, 어떤 서비스든 복원이 가능하다. 데이터량이 많아서 복원이 어렵다 뿐이지 가능하다. 또 데이터 통신도 감청이 가능하다.”

 

디지털에서 신상이 털리지 않기 위해서는 어떻게 해야 하나?

싸이월드나 페이스북, 트위터 등 SNS에서 댓글이나 글을 올린 것, 이런 것이 다 단서가 된다. 생뚱맞은 아이디로 올려도 접속 지역 주소(IP 어드레스) 등 흔적이 많이 남는다. 스마트폰에 아이디나 비밀번호가 기본으로 저장되어 있는 경우가 많다. 편하다고 자동 로그인 기능을 쓰는데, 조심해야 한다.

인터넷 포털이나 SNS 업체가 개인정보를 수집하는 것은 어디까지가 정당한 것인가?

개인별로 느낌이 다를 것이다. 내가 관심이 있는 분야를 업체에서 알아서 정보를 준다고 하니 편하다고 생각하는 사람은 문제가 없다고 느낄 것이고, 그렇지 않은 사람은 정보 수집이 불쾌할 것이다.

수사 당국이나 제3자가 마음먹고 턴다면 개인 신상 털기는 어디까지 가능한가?

삭제 파일을 휴지통에만 넣어두고 비우기 기능을 실행시키지 않으면 몇 년 전 행적까지 알아낼 수 있다. 주기적으로 삭제해주어야 한다. 의뢰가 들어온 일 중에는 5년 전 파일에 대한 문의도 있었다. 내가 개발하고 있는 프로그램으로는 컴퓨터를 언제 켰고, 언제 끄고, 어떤 작업을 했는지, 시간 순대로 복원이 가능하다. 연구 조교들에게 내 컴퓨터를 맡기기도 겁난다.(웃음)

디지털 기기에 남아 있는 흔적을 지우기가 불가능한가?

영구 삭제 프로그램이 있다. 국산도 있고. 물리적으로 자성 물질을 이용해서 하드를 완전히 파괴시키는 방법도 있지만, 그러면 컴퓨터를 다시 쓰지는 못하고 고철 값에 팔아야 한다. 총리실에서 불법 사찰 증거를 인멸하기 위해 하드를 파기했을 때 쓴 방법이 이런 것이다. 

스마트폰에서는 기록이 잘 지워지지 않는다는 말은 무슨 뜻인가?

메모리 특성 때문에 그렇다. 요즘 쓰이는 플래시 메모리는 위치를 지정해서 삭제하기 힘들다. 그래서 영구 삭제 프로그램이 효과적이지 못하다. 같은 영역에 두 번 세 번 파일을 덧씌워서 복구하지 못하도록 하는 방법밖에는 없다.   

전자 메일이나 모바일용 메신저에서의 기록이 수사 증거물로 활용되고 있는데.

서비스 회사에서는 사용자가 기록을 삭제하면 완전히 삭제된다고 밝히고 있지만, 어떤 서비스든 복원이 가능하다. 데이터량이 많아서 복원이 어렵다 뿐이지 가능하다. 또 데이터 통신도 감청이 가능하다. 그래서 어떤 이들은 외국 회사가 서비스하는 메일을 쓰기도 한다.

외국 메일은 복원이 안 되나?

복원 가능성은 국내 회사나 똑같다. 수사 기관이 압수수색을 쉽게 하지 못하니까, 또 지운 메일까지는 수사 기관에 제출하지 않으니까 그럴 뿐이다.  

디지털 흔적을 안 남기고 살 수는 있나?

나처럼 SNS 같은 서비스를 활용하지 않고 살면 된다. 미국에서는 ‘디지털 인격’이라고 해서 개인이 블로그나 SNS에 남긴 글 등을 통해 그 사람을 평가하고 입사 여부를 결정하는 기업도 있다. 인터넷은 익명의 공간이 아니다. 나쁜 짓을 안 하면 된다. 평상시에 남들에게 말할 때는 조심하지 않나. 그 생각 그대로 인터넷에서 똑같이 말하고 행동하면 된다.

통신에서 공격당하기 쉬운 사람이 있나?

고위 공무원이나 국회의원 같은 사람에게는 감청 방지나 데이터 보안 등이 중요할 것이다. 하지만 보통 사람은 불법 소프트웨어를 쓰려고만 안 해도 크게 걱정할 것이 없다. 다만 스마트폰에서는 전자우편을 열어볼 수 있다는 점에서 스팸메일을 통한 악성 코드에 공격당할 염려가 크다는 점에서 조심해야 한다.

스마트폰의 개인정보에 대한 정부의 태도는 어느 쪽인가?

재정경제부나 그런 곳에서는 위치 기반 서비스의 정보 보호에 대해 의미 있게 생각하고 있는 것 같다. 반면 수사 기관에서는 정보 보유 기간이 짧은 것에 아쉬움을 느끼는 것 같다.(웃음)

 

이 기사에 댓글쓰기펼치기